Ein CAB (Change Advisory Board) ist ein Gremium, das IT-Änderungsanträge (Change Requests) prüft, bewertet und genehmigt oder ablehnt. Es stellt sicher, dass Änderungen an IT-Systemen strukturiert und risikobewertet durchgeführt werden.
ISO 27001 Annex A Control A.8.32 (Änderungsmanagement) fordert einen kontrollierten Änderungsprozess. Das CAB ist die organisatorische Umsetzung dieser Anforderung. Typische Mitglieder sind Vertreter aus IT-Betrieb, Informationssicherheit, betroffenen Fachbereichen und ggf. dem Management. Das CAB bewertet Risiko, Auswirkung, Rückfallplanung und Zeitfenster jeder Änderung. Für dringende Änderungen (Emergency Changes) gibt es oft ein verkürztes Verfahren mit nachträglicher CAB-Bewertung. Der Prozess ist eng verzahnt mit dem Configuration Management.